株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

セキュリティ診断内製化支援

Inspection & Consulting

企業内におけるセキュリティ診断の "内製化" を支援

ITを活用した新サービス開発やリリースの頻度が高い場合や本格的なDX推進を行う場合、セキュリティ診断を社内で迅速に行う体制構築が求められます。診断ツール導入や運用、診断結果を活かす専門知識などラックの蓄積された知見で企業内のセキュリティ診断内製化をサポートします。

サービスの強み

専門知識と豊富な経験で計画策定から体制づくりや業務効率化まで、
セキュリティ診断の内製化を支援

企業の環境や事業上目的に沿った最適なセキュリティ診断ツールをご提案するとともに、セキュリティ診断結果を基に、脆弱性、分析結果についての専門的なご相談対応、診断ツール導入後の製品サポートも提供します。さらに、専門知識と経験をもつ専門家が診断計画の策定や業務の推進体制づくりなど、セキュリティ診断の業務効率化に向けたアドバイスをします。内製化の仕組みを導入することで、コスト削減や標準化したポリシーに沿ったタイムリーでレベルの高い運用が可能となり、様々な課題の解決が可能になります。

<セキュリティ診断の内製化で解決できる課題>

  • 社外の開発会社にセキュリティ診断をすべて委託していて、費用がかさむ。
  • 開発ガイドラインはあってもセキュリティ評価のノウハウと仕組みがない。
  • 各事業部やプロジェクトで診断ツールが統一されていないためセキュリティ管理が困難。

トータルコストの削減とタイムリーで
レベルの高いセキュリティ診断の運用が実現可能に

  1. トータルコストの削減
    すべてを外部に委託するとセキュリティ診断に多大なコストが発生します。効率的な内製化の仕組みを導入し、運用の一部を“自動化”すればトータルコストを削減できます。さらに、いつでも必要な時に診断できるため、リリース前だけの診断に比べ手戻りを減らし、全体のコスト削減を実現します。
  2. 効果的でタイムリーな診断が可能
    診断ツールの導入で必要なタイミングで診断できるため、危険度の高い脆弱性が発表された時の急な対応やサービスのWebサイト開発におけるリリース前のセキュリティ診断など、社内で迅速な対応が可能となります。また、自社の都合で定期的な診断も実施することができます。
  3. 自社のセキュリティレベルの向上
    内製化を進めることで、検出された脆弱性に対して「どのような対策を取るべきか」という知識やノウハウを蓄積することができます。組織や事業目的に適したセキュリティ対策の知識やノウハウを開発ガイドラインや自社セキュリティ基準へ反映することで、診断で見つかったリスクの再発も予防できます。

セキュリティ診断を内製化するツールの紹介

診断ツール名 環境 / 用途 特徴
Rapid7
「Insight VM」
プラットフォーム診断用
(オンプレミス型)
  • 検出された脆弱性やホストでは、公表されている脅威情報・攻撃コードの有無をもとにリアルリスクスコア0~1000点で数値化されるため、対策の優先度を細かく設定できます。
  • ホスト資産の脆弱性や脅威状況を可視化できるダッシュボード機能は、リスクのあるアセットを迅速で柔軟に検索でき、状況の把握を効率よく行えます。
Qualys
「QualysGuard VM」
プラットフォーム診断用
(クラウド型)
  • SaaS型サービスとなるため、自社に診断用環境の構築が不要(ただし、イントラネットの場合はアプライアンス設置が必要)。
  • 検出した脆弱性を「Confirmed(存在を確認された脆弱性)」と「Potential(潜在的な脆弱性)」種類に分けられるため、優先すべき脆弱性がわかりやすくなります。
  • 脆弱性の管理機能が充実しています。診断ごとに、脆弱性のステータスが自動で更新されるため、容易に脆弱性が管理できます。
ユービーセキュア
「Vulnerability Explorer(Vex)」
Webアプリケーション診断用
  • 脆弱性の検出精度が高い純国産のWebアプリケーション診断ツール。
  • 診断開始URLからの自動クローリング、ブラウザ操作による入力、各フォームのパラメータ個別設定ができるなど、柔軟な診断設定が可能です。
  • ツール上で診断対象の画面や相違率(ブラウザ操作とツール結果とのレスポンス差分)やエラー内容を確認できるため、エラーハンドリングが容易です。
  • 脆弱性結果レポート出力に加え、画面遷移図(Excel)や、「IPA 安全なWebサイトの作り方」「OWASP TOP10」「PCI DSS」の準拠状況をマッピングしたレポート出力が可能です。

価格

お客様のご依頼内容によりますので、個別にお見積もりいたします。お気軽にお問い合わせください。

「セキュリティ診断内製化支援」に関するお問い合わせ